Depuis 2018, une série de logiciels malveillants circulent sur Android, se faisant passer pour des applications éducatives légitimes. Ces malwares volent les identifiants de compte Facebook pour les réutiliser un peu partout sur le web.
Ce sont plus de 300 000 appareils dans 71 pays qui ont déjà été infectés par ces applications Android éducatives qui utilisent un procédé très classique, mais redoutablement efficace pour voler les informations de comptes Facebook et les données personnelles qui vont avec.
Le caïd de la cour de récréation
« Schoolyard Bully », c’est le nom de ce malware qui doit son nom au procédé qu’il utilise pour infecter ses victimes : il se fait toujours passer pour une application éducative inoffensive. On parle ici d’un cheval de Troie qui s’est dissimulé pendant des années dans de nombreuses applications qui ont été téléchargées depuis le Google Play Store et les magasins d’applications tiers.
Un code malveillant est caché dans ces apps qui proposent à leurs victimes des contenus éducatifs comme des livres ou des articles. « Schoolyard Bully » demande alors aux utilisateurs de se connecter via leur compte Facebook afin de communiquer avec les autres étudiants, ce qui est assez commun sur ce genre d’application.
Au troisième trimestre 2022, Facebook comptait toujours 2,96 milliards d’utilisateurs à travers le monde. Un chiffre impressionnant qui, malgré une forte concurrence, en fait toujours le premier réseau social au monde. Les pirates savent que nous créons des mots de passe trop faibles et que nous les utilisons sur d’autres comptes, y compris les plateformes bancaires… Il n’en faut pas plus à des personnes mal intentionnées pour tenter de voler les accès aux comptes utilisateurs.
Ainsi, le cheval de Troie Schoolyard Bully est en mesure de voler l’email, le numéro de téléphone, le mot de passe, l’identifiant Facebook et le nom de la personne piratée. Des informations précieuses qui sont recueillies avec une facilité déconcertante.
Voler les données personnelles, un jeu d’enfant
C’est Zimperium, société spécialisée dans la protection des terminaux mobiles, qui a repéré le malware. L’entreprise donne l’exemple d’une application éducative vietnamienne, pays particulièrement touché par le cheval de Troie. À première vue, rien ne semble indiquer qu’il s’agit d’une application malveillante. On y trouve quatre onglets, dont un pour chater avec les autres utilisateurs. C’est dans ce dernier que la connexion au compte Facebook est demandée.
Le cheval de Troie utilise ensuite l’injection JavaScript pour voler les identifiants Facebook. Le processus est impossible à détecter par l’utilisateur dans la mesure où c’est bien l’URL de connexion légitime de Facebook qui est ouverte dans une « webview » au sein de l’application. C’est précisément à cet endroit qu’est injecté le JavaScript qui va extraire les données rentrées par l’utilisateur pour les envoyer sur un serveur de commande et de contrôle Firebase. Un processus de plus en plus utilisé par des chevaux de Troie bancaires.
Aujourd’hui supprimées du Google Play Store, ces applications sévissent toujours sur les magasins d’applications tierces. Les 300 000 victimes représentent donc une estimation basse dans la mesure où il est impossible de mesurer réellement le nombre de téléchargements sur ces boutiques non officielles. Zimperium partage également une carte du monde affichant les 71 pays où le cheval de Troie a fait des victimes. La France fait partie des pays touchés par « Schoolyard Bully ».
Pour éviter de tomber dans ce type de piège, procédez toujours à quelques vérifications avant de télécharger une application, quelle que soit sa source. Cela commence par regarder la réputation de l’auteur ainsi que les avis des utilisateurs.
Source :
Zimperium